大廠也難逃GDPR,谷歌、亞馬遜再遭投訴
GDPR自頒佈、實施以來就一直佔據了相當大的話題熱度。最近一段時間,一家關注歐洲商業隱私問題的非營利執法組織noyb找上了幾家大企業,因為GDPR的存在,該機構已代表其使用者針對8家線上流媒體公司向奧地利資料保護局提交10起投訴。
受到投訴的公司包括:Amazon、Google、Apple、DAZN、Spotify、SoundCloud、YouTube、Flimmit、Netflix。
由於GDPR的罰款標準是2000萬歐元或全年收入的4%,因此這10項投訴理論上最高罰款可達188億歐元。
根據noyb主管Max Schrems的說法,所有這些公司都經過了GDPR的測試,用於確認其是否符合DPA法規(即《個人資料保護法》)第15條中的標準。
針對“訪問權”違規行為提出的投訴
“訪問權”,即所有歐盟公民都對自己提交的資料享有知情權,能夠隨時呼叫相關資訊的原始資料及副本,同時有權利知曉資料的用途和接收者資訊等。
在對上述八家公司進行合規測試後,noyb發現並沒有任何一家完全符合GDPR標準,甚至都存在一定的違規現象。
根據noyb的主管的說法:
許多企業的服務會設定自動化系統來響應訪問請求,但他們通常不會給每個使用者提供其詳細的資料資訊。多數情況下,使用者只能獲取原始資料,但對於這些資料被誰共享、用於何處的情況並不知情。這便是GDPR中所說的結構性侵權,因為這些系統正是為了隱藏相關資訊而構建的。
在noyb測試所有的流媒體服務過程中,DAZN和SoundCloud是唯二完全忽略資料請求服務的廠商。同樣,Netflix和Flimmit是會提供不完整的資料和使用者資訊。
針對八種主流廠商所提交的投訴表
GDPR是一項基於使用者和資料的隱私法規,在正式實施之後,noyb也利用該法案向Google、WhatsApp、Facebook和Instagram提出過訴訟。這幾家企業因未能向用戶提供個人資料處理的許可選項從而違反了法規的第七條第四款。
被GDPR“制裁”過的企業
在2018年11月,根據歐洲消費者組織的統計資料,Google收到了多個消費者群體的投訴資訊,因其在追蹤使用者位置的行為上存在欺騙行為。
同樣是11月,Acxiom,Oracle,Criteo,Quantcast,Tapad,Equifax和Experian則收到了來自使用者權力組織Privacy International的投訴,因其大量收集使用者資料並建立相關的使用者配置檔案。
愛爾蘭資料保護委員會(DPC)也在8月開始對倫敦大學的隱私研究員Michael Veale提出的投訴進行調查,但因為他本人拒絕回覆後續資訊,因此同樣遭到了調查。
目前來說,GDPR的實施正在逐漸走上正軌,雖然仍然存在不同地區不同標準的情況,但針對每一項投訴,認真核查、處理,對於法規的實施必然是正向、積極的影響。
*參考來源:bleepingcomputer ,Karunesh91編譯,轉載請註明來自FreeBuf.COM